CIFSwitch - kritična ranjivost Linux kernela omogućava pristup sa root privilegijama
Novootkrivena ranjivost CIFSwitch u Linux kernelu omogućava lokalnim napadačima pristup sa root privilegijama na više distribucija.
Šta se desilo?
Pronađena je nova ranjivost u Linux kernelu nazvan CIFSwitch koja omogućava lokalnim napadačima da stecu root privilegije. Ranjivost utiče na CIFS (Common Internet File System) podsistem kernela i cifs-utils alatke, omogućavajući napadaču da falsifikuje zahteve za autentifikaciju i obide sigurnosne mehanizme.
Koga pogađa?
Ranjivost pogađa korisnike više Linux distribucija, uključujući Linux Mint 21.3 i 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux, SLES 15 SP7 i druge. Potencijalno su ugrožene i razne verzije Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux i Amazon Linux ako imaju instalovane ranljive verzije cifs-utils. Važno je napomenuti da neke novije distribucije kao Ubuntu 26.04, Fedora 40-44 i CentOS Stream 10 imaju zaštitu kroz SELinux/AppArmor politike.
Kako se zaštititi?
- Primenite kernel zakrpe koje sade ispravke za validaciju cifs.spnego zahteva
- Onemogućite ili zabranite CIFS modul ako ga ne koristite
- Uklonite cifs-utils paket ako nije neophodan za vašu konfiguraciju
- Onemogućite neprivilegiju korisničke imenske prostore ako nisu neophodni
- Proverite da su SELinux ili AppArmor politike pravilno konfigurisane na vašem sistemu
Tehnički detalji
CIFSwitch je uveden pre 19 godina (2005) i predstavlja gresku u Linux kernela gde CIFS podsistem ne validira da li cifs.spnego zahtevi dolaze od samog kernela. Neovlašćeni korisnik može kreirati falsifikovani zahtev i primoriti root-privilegovanu cifs.upcall pomoćnu aplikaciju da vrši lošu validaciju polja pod kontrolom napada. Korišćenjem namespace switch i triggering Name Service Switch (NSS) lookup-a pre nego što se privilegije uklone, lokalni napadač može učitati zlonamerni NSS modul i postići izvršavanje koda sa root dozvolama. Upstream kernel commit 3da1fdf sadrži ispravku koja dodaje validaciju porijekla cifs.spnego zahteva. Dostupan je i proof-of-concept exploit koji organizacije mogu koristiti za proveru efikasnosti primenjenih zakrpi.
Preporuka Sajber Radara
Ako koristite neku od ranljive distribucije, odmah proverite verziju vašeg kernela i cifs-utils paketa, zatim primenite dostupne zakrpe. Za sisteme na kojima CIFS nije obavezna funkcionalnost, preporučuje se onemogućavanje CIFS modula kao dodatni sloj zaštite.